Explosión crítica de RCE en Microsoft WSUS explotada activamente. CISA advierte: riesgo inminente.

Redazione RHC : 25 octubre 2025 09:35

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de código (RCE) en el Servicio de Actualización de Windows Server ( WSUS ) de Microsoft, dirigida a todas las organizaciones a nivel mundial.

La vulnerabilidad, clasificada como CVE-2025-59287, tiene una puntuación CVSS de 9,8, lo que permite a atacantes no autenticados ejecutar código arbitrario dentro de una red, amenazando así toda la infraestructura de TI.

La falla de seguridad, que resultó de la deserialización sin protección de datos cuestionables dentro de WSUS, se solucionó parcialmente en el parche mensual de octubre de Microsoft, pero una actualización de emergencia lanzada el 23 de octubre de 2025 fue necesaria debido a la insuficiencia de la solución inicial.

Microsoft y CISA instan a tomar medidas urgentes para abordar esta amenaza. Para empezar, identifique los servidores susceptibles escaneando aquellos con el rol WSUS habilitado y los puertos 8530/8531 abiertos. Aplique inmediatamente el parche fuera de banda del 23 de octubre y luego reinicie para garantizar una mitigación completa. Retrasar esta acción podría exponer las redes a RCE no autenticado.

Para aquellos que no pueden aplicar el parche inmediatamente, las soluciones alternativas incluyen deshabilitar la función WSUS o bloquear el tráfico entrante a los puertos afectados en el firewall del host; estas acciones no se deben revertir hasta que se instale la actualización.

Unos días antes, el investigador de HawkTrace, Batuhan Er, había publicado exploits de prueba de concepto (PoC) que aceleraron la actividad maliciosa, permitiendo a los atacantes apuntar a servidores WSUS que se ejecutaban bajo una cuenta SYSTEM.

La empresa de seguridad holandesa Eye Security identificó los primeros intentos de explotar la vulnerabilidad a las 06:55 UTC del 24 de octubre de 2025, utilizando una carga útil .NET codificada en Base64.

Esta carga útil fue diseñada para eludir los sistemas de registro mediante la ejecución de comandos incluidos en un encabezado de solicitud personalizado llamado «aaaa». Según empresas de seguridad, la amenaza está creciendo rápidamente, con informes de ataques reales desde el 24 de octubre de 2025.

CISA también ha incluido CVE-2025-59287 en su catálogo de vulnerabilidades explotadas (KEV), requiriendo que las agencias federales solucionen la vulnerabilidad antes del 14 de noviembre de 2025, una fecha que resalta la facilidad de explotación y la baja complejidad del exploit, que no requiere interacción o autenticación del usuario.

Las organizaciones que utilizan WSUS para la gestión centralizada de actualizaciones están expuestas a un riesgo significativo, ya que una violación exitosa podría permitir a los atacantes distribuir actualizaciones maliciosas a todos los dispositivos conectados.

La vulnerabilidad explota un mecanismo de serialización heredado en el punto final GetCookie(), donde los objetos AuthorizationCookie cifrados se descifran usando AES-128-CBC y se deserializan usando BinaryFormatter sin validación de tipo, lo que abre la puerta a una toma de control completa del sistema.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli